SC제일은행 김홍선 부행장에게 듣는 CISO들의 역할과 과제

[보안뉴스 민세아] 금융권에서의 사이버 보안 이슈는 끊임없이 발생해 왔다. 지난 2009년 7월 7일, 미국과 우리나라의 주요 정부기관, 포털사이트, 은행 등이 공격을 받아 서비스가 일시적으로 마비된 7.7 디도스 사태. 국내 주요 정보통신망과 금융사를 마비시킨 2013년 3.20 사이버테러. 올해 방글라데시 중앙은행의 은행간 거래 시스템인 스위프트 전산망을 통해 미국 뉴욕 연방준비은행에 예치한 966억여 원을 절도당한 스위프트 해킹 사건 등이 대표적인 사례다.


디도스 공격을 통해 서비스를 불가능하게 만들던 방식에서 금융정보 탈취, 심지어는 사이버 공격이 실제 금전 피해로까지 이어지는 것이 작금의 현실이다. 금융권에서는 이러한 위협에 어떻게 대처하고 있을까?

SC제일은행의 정보보호최고책임자(CISO)인 김홍선 부행장은 “스위프트 사건은 과거 스턱스넷(Stuxnet) 이후 공격의 새로운 패러다임을 보여주는 사례”라고 설명했다. “스턱스넷은 우리의 상식을 뛰어넘은 오프라인 환경도 얼마든지 타깃이 될 수 있다는 것을 보여줬고, 기존에 우리가 알고 있던 단순한 정보 유출 목적이 아닌 악성코드 감염이 실제 피해로 이어질 수 있다는 것을 보여줬습니다.”

스위프트 사건의 경우 사이버 공격이 단순히 정보를 탈취하는 수준에서 은행의 돈을 갈취하는 수준까지 확대됐다. 여러 계좌를 거친 후 필리핀 카지노를 통해 현금화한 것도 사각지대를 잘 파악하고 있었다고 볼 수 있다. 이 사건에서 해킹은 하나의 툴로서 이용됐을 뿐이라는 것.

SC제일은행의 김 부행장은 스위프트 사건을 단순 금융사고로 인식할 수 없었다고. 스위프트 사건을 통해 김 부행장은 “SC제일은행 내부 시스템을 모두 다시 점검하고 들여다보는 계기가 됐다”며, “해당 사건의 경우 시사하는 바가 크다고 생각한다”고 말했다.

그전에는 해킹 사고가 단순히 IT분야 종사자들만의 이슈라는 인식이 있었지만, 사이버보안 사고는 우리 사회 문제로 확대되고 있다. 김 부행장은 “디지털 문명사회에서 큰 도전을 받고 있는 것 같다”고 밝혔다.

김 부행장은 현재 SC제일은행 안에서 CISO뿐만 아니라 개인정보보호책임자(CPO), 신용정보관리보호인(CIAP), 개인정보관리책임자(PIMM), 고객정보관리인(CCIO)이라는 5개의 직책을 겸임하고 있다. 너무 많은 타이틀에 어깨가 무거울 법도 하지만 고객 신용정보를 지키는 문제에 책임을 나눈다면 오히려 혼선만 생길 수 있다는 게 그의 생각이다. 김 부행장의 직무는 CISO라는 정보보안 경영인의 틀을 중심으로 개인정보와 신용정보의 기능을 포함하는 형태로 결정됐다.

CISO의 역할에 대해 김 부행장은 “CISO는 IT, 리스크 관리, 컴플라이언스 관점에서 균형감을 가져야 한다. 서로 협력하면서 견제해야 하는데, 그러기 위해서는 각 부서와 광범위한 연관 관계를 유지해야 한다. CISO는 CEO의 안목을 가지고, 조직이 어떻게 운영되는지 꿰뚫고 있어야 한다”고 말한다.

또한, 김 부행장은 보안 솔루션에만 의지하는 기업과 기관의 행태에 대해서도 일침을 가했다. “자기가 어떤 데이터를 가지고 있는지 모르고 기업 내부자산도 파악하지 못하는 경우가 많습니다. 거버넌스가 없는 것이라 할 수 있는데, 보안의 기본은 거버넌스이기 때문에 이를 먼저 확립해야 합니다. 이후 데이터의 흐름을 정의하고 거기에 따라 통제해야 하는데, 보안 솔루션으로만 막으려는 경향이 있습니다. 보안 솔루션이 어느 정도는 막아줄 수 있지만, 그 전에 데이터가 어떻게 흘러 들어가는지를 알아야 합니다.”

보안이슈에 발빠르게 움직이고 대응해야 하는 만큼 정보를 습득하는 것도 중요하다. 국내 금융보안원의 금융ISAC을 통해 정보를 공유하기도 하지만 글로벌 기업들 간에도 ISAC와 같은 조직이 있다. 이를 통해 SC제일은행은 어느 나라에서 어떤 유형의 공격이 자주 발생하는지, 금융권에만 나타나는 현상들이나 금융권을 타깃으로 하는 공격들에 대한 정보를 서로 공유한다. 은행내 보안조직이 이러한 정보를 계속해서 분석하고 대안을 마련하기 위해 노력한다는 얘기다.

스위프트 사건 같은 경우 내부 사정을 다 꿰고 있기에 가능한 공격이며, 내부 사정을 전혀 모르는 사람이 절대로 할 수 없는 공격이다. 이렇듯 분야마다 내부 프로세스가 다 다르고 같은 금융권이라 하더라도 제공하는 서비스에 따라 내부 프로세스가 다 다르기 때문에 각 기업마다 자기 기업에 특화된 보안조직과 전략을 가지고 가야 한다는 것이 김 부행장의 설명이다.

김 부행장은 “항상 리스크를 생각한다. 결과가 성공이냐 실패냐로 나눠지기 때문에 항상 이에 대한 스트레스를 가지고 있다. 은행이 전반적으로 디지털화가 되었듯, 금융 환경이 계속해서 변하고 그에 따라 상황이 위협적으로 다가올 수 있기 때문에 최악의 상황을 항상 생각하게 된다”고 밝혔다.


김 부행장은 급속하게 발전하는 지금 같은 추세라면, 향후 10년 이내에 엄청난 변화가 있을 것이라고 예견했다. 무인자동차, 헬스케어 기술이 발전하고 있고, 금융권에서는 클라우드 분야로 발을 넓히고 있다. 점점 오픈된 시스템으로 변화하고 있기 때문에 핀테크 등의 기술을 수용할 수 있어야 하고 거기에 맞게 시큐리티 모델이 접목될 것으로 봤다.

또한 그는 “가장 큰 과제는 이렇게 새롭게 접목되는 기술을 사용자들과 직원들도 어렵지 않게 사용할 수 있어야 한다는 것이다. 모바일 시대에서는 즉각적인 접근성이 중요한데, 이것이 다가올 미래의 또 다른 미션”이라고 설명했다.

글로벌 은행들은 폐쇄적인 비즈니스 모델에서 점점 개방된 비즈니스 모델로 바뀌어 가고 있다. 그런 부분들을 보안이 안고 가야 하는 것이고, 김 부행장은 개방된 비즈니스 모델에 보안을 어떻게 녹여내냐가 가장 당면한 숙제라고 설명하고 있다. 결국 리스크로 나오는 것은 보안밖에 없기 때문에 보안조직이 리스크를 관리·가이드하고 통제할 수 있는 조직으로서 나아가야 한다고 강조했다.

“보안 트렌드가 변하고 있습니다. 과거에는 정형화된 대응만으로 어느 정도 보안이 가능했지만, 이제는 타깃에 맞춤화된 공격방식으로 변화하고 있기 때문에 CISO가 할 일이 많아졌습니다. 우리는 그에 맞는 플랜을 세워야 합니다. 단순 악성코드 감염은 이제 평면적인 공격 취급을 받고 있습니다.” 그의 맺음말이 국내 수많은 CISO들에게 새로운 도전과제가 되고 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>